Trojan.Win32.Delf.abx
Po uruchomieniu trojan kopiuje si臋 w nast臋puj膮cy spos贸b:
%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe %Documents and Settings%\%user%Start MenuProgramsStartupavp.exe %System%RavMon.exe
Trojan tworzy nast臋puj膮cy klucz rejestru z danymi instalacyjnymi:
Tworzy r贸wnie偶 nast臋puj膮ce warto艣ci klucza rejestru systemowego:
"Expire Days" = "dword:8"
"AutoEndTasks" = "1"
W celu zapewnienia sobie automatycznego uruchamiania si臋 wraz z ka偶dym restartem systemu trojan rejestruje sw贸j plik wykonywalny w rejestrze systemu:
"RavAV" = "%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe"
"RavMon" = "%System%RavMon.exe"
Trojan ten jest programem rejestruj膮cym uderzenia klawiszy, kt贸ry dzia艂a r贸wnie偶 jako narz臋dzie zdalnej administracji. Posiada r贸wnie偶 funkcjonalno艣膰 robaka.
Trojan rozprzestrzenia si臋 za po艣rednictwem no艣nik贸w wymiennych.
Trojan kopiuje si臋 na no艣nik wymienny jako RavMonE.exe. Tworzy plik o nazwie autorun.inf, kt贸ry uruchamia plik wykonywalny trojana za ka偶dym razem, gdy u偶ytkownik otwiera zainfekowan膮 partycj臋 za pomoc膮 Explorera.
Je偶eli wymienione poni偶ej procesy s膮 obecne w systemie, trojan zamyka je:
cmmon32.exe iexp1ore.exe IEXPL0RE.EXE iexpl0re.exe Logo1_.exe RUNDL132.EXE rundl132.exe Servera.exe Servere.exe SLcc.exe wuauclt1.exe
S膮 to procesy zwi膮zane z innymi szkodliwymi programami.
Trojan instaluje funkcj臋 przechwytywania klawiatury przy u偶yciu biblioteki, kt贸r膮 tworzy w folderze tymczasowym Windowsa u偶ytkownika bie偶膮cego:
%Temp%h.tmp
Trojan 艣ledzi uderzenia klawiszy u偶ytkownika i zapisuje je w nast臋puj膮cym pliku:
%Temp%keys.log
Nast臋pnie dane te s膮 wysy艂ane do zdalnego szkodliwego u偶ytkownika na jeden z poni偶szych adres贸w e-mail:
ais@darch***.ru ais@mail***.ru apiit@***tmb.ru artemov@***tmb.ru biblme@***tmb.ru bjd@***tmb.ru bmt@***.ru brodovich@sir***.ru brusentsov@mail***.ru chemistry@***.ru coord@coord***.ru crems@crems.jesby***.ru cybertech@jesby***.ru decan_hist@***tmb.ru dmitr2002@***tmb.ru dmsh@dmsh***.ru docc@asp***.ru eco@nnn***.ru egorov@mail***.ru elters@crimeinfo.jesby***.ru ernest@***tmb.ru feodorov@***tmb.ru fmf@***tmb.ru fmo@decin***.ru frolov@nnn***.ru frolow@mail.ahp***.ru galygin@nis***.ru gaps@gaps-gw***.ru gena@des***.ru golovin@***tmb.ru gromov@is***.ru helen@***tmb.ru hist@nnn***.ru ibr@libr***.ru intep@ng***.ru ipu@ahp***.ru ivolgin@***tmb.ru kafedra@asp***.ru kafedra@mail.gaps***.ru kalinin@nauka***.ru kalinin@nauka2***.ru kchic@kch***.ru ket@ket***.ru kmm@***tmb.ru korenkov@***tmb.ru kulikov@apmath***.ru kurs_podg@***tmb.ru kvidep@cen***.ru kvipri@ce***.ru kyv@ahp***.ru kzis@kzis***.ru law@gis***.ru litovka@mail.sapr***.ru lopatin@***tmb.ru lvi@gidra***.ru malaschonok@math-iu***.ru mmf@mmf***.ru msh@msh3***.ru nat@evro***.ru ns@***tmb.ru olga@nnn***.ru olimp@olimp***.ru oord@coord***.ru phys@mail***.ru phys@phys***.ru polymers@asp***.ru polymers@babylon.jesby***.ru portal@tstu.ru post@mcms***.ru post@ums***.ru ppc@ppc***.ru pr@nnn***.ru PR@PR***.ru pvp@phys***.ru quality@asp***.ru rector@***tmb.ru resbn@jesby***.ru root@msh***.ru root@msh3***.ru root@phys***.ru sekr@nnn***.ru sekr1@mail***.ru Shibkov@***tmb.ru slava@ahp-gw***.ru soprm@mail***.ru sport@sportkaf***.ru sss@nnn***.ru studklub@show***.ru szhulikov@***tmb.ru tmm-dm@tmm-dm***.ru tmmsii@tmmsii.jesby***.ru tolmat@teorm***.ru topt@topt***.ru tso@almamater-tv***.ru tso@mail***.ru tva@ul***.ru tyurin@***tmb.ru u0077@pisetski***.ru uaa@hmd***.ru uhachov@***tmb.ru umo@nnn***.ru umo@umo***.ru uov@pk***.ru vat@dzs***.ru vera@vera***.ru vk@mail***.ru vk@midl***.ru zheltov@***tmb.ru
Trojan rejestruje r贸wnie偶 swoj膮 aktywno艣膰 w nast臋puj膮cym pliku:
%Documents and Settings%Local SettingsTempcurse--.tmp
(date): data jest w formacie dd-mm-yyyy
Trojan ko艅czy r贸wnie偶 nast臋puj膮ce procesy zwi膮zane z zapor膮 sieciow膮 i rozwi膮zaniami antywirusowymi:
AAKSRV.EXE AlogServ.exe APVXDWIN.EXE Avconsol.exe Avengine.exe avgamsvr.exe avgcc.exe avgemc.exe AVGNT.EXE AVGUARD.EXE avgupsvc.exe avgwb.dat avp.exe Avsynmgr.exe AVWIN.EXE bdagent.exe bdlite.exe bdmcon.exe bdss.exe cmdagent.exe cpf.exe FileMon.exe FileMonNT.exe FireWall.exe Iface.exe jpf.exe jpfsrv.exe KAVPF.exe kfsensmonitor.exe kfsnserv.exe KillProcess.exe kpf4gui.exe lpfw.exe lpfw.exe mantispm.exe mcagent.exe mcdash.exe Mcdetect.exe Mcshield.exe McTskshd.exe mghtml.exe Monitor.exe MpfAgent.exe MpfService.exe MpfTray.exe OllyDbg.EXE outpost.exe Pavfires.exe PAVJOBS.EXE Pavproxy.exe Pavsrv51.exe Regmon.exe RegMonNT.exe safensec.exe ScanningProcess.exe sdhelp.exe snsmcon.exe spyxx.exe swdoctor.exe Unamon.exe UnaSvc.exe VSHWIN32.EXE VsMain.exe vsserv.exe VSStat.exe wlinject.exe xcommsvr.exe zlclient.exe
Je艣li oprogramowanie antywirusowe zainstalowane na twoim komputerze nie jest aktualne lub nie korzystasz z 偶adnego rozwi膮zania antywirusowego, w celu usuni臋cia szkodnika z zainfekowanego systemu wykonaj nast臋puj膮ce operacje:
- U偶yj Mened偶era zada艅 w celu zako艅czenia procesu o nazwie RavMonE.exe.
- Usu艅 oryginalny plik trojana (lokalizacja b臋dzie zale偶a艂a od sposobu przenikni臋cia programu do zaatakowanego komputera).
- Usu艅 nast臋puj膮ce pliki:
%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe %Documents and Settings%\%user%Start MenuProgramsStartupavp.exe %System%RavMon.exe %Documents and Settings%Local SettingsTempcurse--
.tmp %Temp%h.tmp %Temp%keys.log - Usu艅 nast臋puj膮ce warto艣ci klucza rejestru systemowego:
[HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer m]
[HKLMSoftwareMicrosoftWindowsCurrentVersionRun]
"RavAV" = "%Documents and Settings%\%user%Start MenuProgramsStartupRavMonE.exe"
"RavMon" = "%System% RavMon.exe"[HKCRSoftwareMicrosoftInternet Account]
"Expire Days" = "dword:8"[HKCRControl PanelDesktop]
"AutoEndTasks" = "1" - Uaktualnij sygnatury zagro偶e艅 i wykonaj pe艂ne skanowanie komputera (w tym celu mo偶na pobra膰 darmow膮 wersj臋 testow膮 oprogramowania Kaspersky Anti-Virus).